Prüfaufgaben des Datenschutzbeauftragten - Bitkom

Die Seite wird erstellt Hortensia-Antoniya Kohl
 
WEITER LESEN
Prüfaufgaben des Datenschutzbeauftragten - Bitkom
Prüfaufgaben des Datenschutzbeauftragten
Prüfaufgaben des Datenschutzbeauftragten - Bitkom
Agenda
1.    Rechtliche Anforderungen
      •   Aufgaben des Datenschutzbeauftragten
      •   Rechenschaftspflichten aus der Datenschutzgrundverordnung (DSGVO 2018)
      •   Kontrollpflichten aus der DSGVO
      •   Datenschutzmanagementsystem
      •   Zertifizierung im BDSG und in der DSGVO

2. Datenschutz-Organisation

3. Datenschutzprüfungen
      •   Prüfungsplanung
      •   Prüfungsdurchführung
      •   Dokumentation
      •   Zusammenarbeit einzelner Bereiche

kbo                                                                                Datenschutzprüfungen bei kbo | Juni 2020 | 2
Prüfaufgaben des Datenschutzbeauftragten - Bitkom
über mich
Seit ca. 20 Jahren im Datenschutz tätig
Ausgebildet beim Landesamt für Datenschutz und Statistik in München
Konzerndatenschutzbeauftragter bei kbo
Externen Datenschutzbeauftragter in sozialen Einrichtungen
„Grundausbildung“ Betriebswirtschaft und Interne Revision

Stellv. Vorstandsvorsitzender beim Berufsverband der Datenschutzbeauftragten in Deutschland BvD e.V.

kbo                                                                                            Datenschutzprüfungen bei kbo | Juni 2020 | 3
Prüfaufgaben des Datenschutzbeauftragten - Bitkom
über kbo

•     Verbund von Kliniken und ambulanten Einrichtungen für Psychiatrie, Psychotherapie und Psychosomatik für Kinder,
      Jugendliche und Erwachsene, Neurologie und Sozialpädiatrie

• 7.200 Mitarbeiter – etwa 110.000 Patienten jährlich

• stationäre, teilstationäre und ambulante Leistungen - wohnortnah in ganz Oberbayern an über 30 Standorten

    kbo                                                                                             Datenschutzprüfungen bei kbo | Juni 2020
                                                                                                                                         4 |4
Prüfaufgaben des Datenschutzbeauftragten - Bitkom
Rechtliche Anforderungen

Aufgaben des Datenschutzbeauftragten

•     Art. 39 DSGVO:
              • Abs. 1 lit. b):   Überwachung der Einhaltung dieser Verordnung
              • Abs. 1 lit. c):   Beratungs- und Überwachungsfunktion bei Datenschutzfolgeabschätzungen (Art. 35 DSGVO)
              • Abs. 1 lit. d+e): Zusammenarbeit mit Aufsichtsbehörden
              • Abs. 2:           Durchführung einer eigenen Risikoeinschätzung zur Berücksichtigung des
                                  mit den Verarbeitungsvorgängen verbundenen Risikos bei der Erfüllung seiner Aufgaben
•     Art. 38 DSGVO:
              • Abs. 6:           Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten
                                  wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige
                                  Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

kbo                                                                                                Datenschutzprüfungen bei kbo | Juni 2020 | 5
Prüfaufgaben des Datenschutzbeauftragten - Bitkom
Rechtliche Anforderungen

Rechenschaftspflichten aus der DSGVO
      • Art. 5 Abs. 2 DSGVO: Der für die Verarbeitung Verantwortliche muss die Einhaltung der Datenschutz-Grundsätze
        nachweisen können
             • Rechtmäßigkeit
             • Verarbeitung nach Treu und Glauben
             • Transparenz
             • Zweckbindung
             • Datenminimierung
             • Richtigkeit
             • Speicherbegrenzung
             • Integrität & Vertraulichkeit

      • Zur Erfüllung der Rechenschaftspflicht:
        Dokumentation des DSB über wesentliche Tätigkeiten seiner Person, bzw. seiner Mitarbeiter in einem zentralen
        Dokumentationstool (IDW PH 9.860.1)

kbo                                                                                          Datenschutzprüfungen bei kbo | Juni 2020 | 6
Rechtliche Anforderungen

Kontrollpflichten aus der DSGVO
      • Art. 24 Abs. 1 DSGVO: Der Verantwortliche setzt unter Berücksichtigung
             • der Art und des Umfangs,
             • der Umstände,
             • der Zwecke der Verarbeitung,
             • sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und
               Freiheiten
          geeignete technische und organisatorische Maßnahmen um und überprüft diese

      • Art. 32 Abs. 1 DSGVO:
        Kein Höchstmaß an technischen und organisatorischen Maßnahmen, sondern, nach dem Stand der Technik, dem
        Risiko für die Rechte und Freiheiten der betroffenen Personen angemessene Maßnahmen
             • Abs.1 d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit

kbo                                                                                           Datenschutzprüfungen bei kbo | Juni 2020 | 7
Rechtliche Anforderungen

Datenschutzmanagementsystem
      Zur Erfüllung der gesetzlichen Anforderungen ist die Implementierung eines Datenschutzmanagement-Systems
      unerlässlich

                                                         Planung
                                                      Festlegung und
                                                     Fortschreiben aller
                                                          Prozesse

                               Weiterentwicklung                           Durchführung
                                Instandhaltung und      DSMS               Umsetzung der
                                                                           Maßnahmen und
                                 Verbesserung der
                                     Prozesse                              Prozessschritte

                                                          Kontrolle
                                                      Überprüfung und
                                                         Beurteilung
                                                      prozessrelevanter
                                                          Vorgaben

kbo                                                                                          Datenschutzprüfungen bei kbo | Juni 2020 | 8
Rechtliche Anforderungen

Zertifizierung im BDSG und in der DSGVO

Bereits im BDSG Forderung nach einer Zertifizierung:
•     §9a BDSG :
      Zur Verbesserung des Datenschutzes & der Datensicherheit kann das Datenschutzkonzept und die technischen
      Einrichtungen durch unabhängige und zugelassene Gutachter überprüft und bewertet werden

•     Art. 42 DSGVO:
      Schafft die Möglichkeit, mit der Einhaltung eines zertifizierten Genehmigungsverfahrens die Erfüllung der Anforderungen
      der DSGVO nachzuweisen
                 • Bislang kein anerkanntes Zertifizierungsverfahren
                 • ISO 27001 / 27701 wichtiger Schritt zu pragmatischen und zertifizierbaren Datenschutz

kbo                                                                                                 Datenschutzprüfungen bei kbo | Juni 2020 | 9
Datenschutz-Organisation

                      Vorstand

                                             Geschäftsführung

          Konzerndatenschutzbeauftragter                             Konzerndatenschutz-Team
                                                                   • Beratung
                                                                   • Überwachung
        Technischer            Organisatorischer
        Datenschutz              Datenschutz

                                             Ansprechpartner für
                          IT
                                                Datenschutz

kbo                                                                             Datenschutzprüfungen bei kbo | Juni 2020 | 10
Datenschutz-Organisation

Technischer Datenschutz                                       Organisatorischer Datenschutz

Aufgaben:                                                     Aufgaben:
•     Datenschutzfolgeabschätzung                             •   Betroffenenrechte
•     Verzeichnis von Verarbeitungstätigkeiten                •   Auftragsverarbeitungsverträge
•     Rechte- und Rollen-Konzept                              •   Dokumentensteuerung
•     …                                                       •   …

                                                                         Datenschutzmanager
          IT-Sicherheitsbeauftragter
                                                                        Compliancebeauftragter

                                                         x4

                                       Konzerndatenschutzbeauftragter

kbo                                                                                               Datenschutzprüfungen bei kbo | Juni 2020 | 11
Datenschutz-Prüfungen

                                                         Audit-Universe

                               Prüfungsplanung

                                                                                                    DOKUMENTATION
                                                        Risikobewertung

      Datenschutzprüfungen

                                                    Prüfungsarten/-handlungen

                             Prüfungsdurchführung     Bewertungssystematik

                                                         Berichtswesen

kbo                                                                             Datenschutzprüfungen bei kbo | Juni 2020 | 12
Datenschutz-Prüfungen – Prüfungsplanung

                                               BEM-Prozess
                                                                                              Schulen bei kbo
                 Außerklinische                                  Betriebsarzt
             Dokumentationssysteme

                                                                                       Datenaufbewahrung
      AV-Verträge
                              Clean-Desk
                                                      Audit-Universe
                                                                                Datenerfassung
                                                                                                                      IT-Themen
              Datenschutzverletzungen

                                                                                    Datenschutz-Schulungen
                                  Datenweitergabe extern
                                                                  Datenmüll
        Betroffenenrechte
                                                                                        Datenweitergabe intern

                                                                                …
                                                     Videoüberwachung
                               Hygiene

kbo                                                                                        Datenschutzprüfungen bei kbo | Juni 2020 | 13
Datenschutz-Prüfungen – Prüfungsplanung

Risikobewertung
z.B. anhand folgender Kriterien:

•     Zeitpunkt letzter Prüfung
•     Brutto-Risiko laut Datenschutzfolgenabschätzung
•     Höchste betroffene Datenschutzklasse
•     Ergebnis letzter Prüfung
•     Anzahl von Datenschutzmeldungen in den letzten 12 Monaten in diesem Prozess
•     Schnittstellen im Prozess

kbo                                                                                 Datenschutzprüfungen bei kbo | Juni 2020 | 14
Datenschutz-Prüfungen – Prüfungsplanung

       Zeitpunkt der letzten     (1) weniger als 2 Jahre her   (3) länger als 5 Jahre her
             Prüfung             (2) länger als 2 Jahre her    (4) länger als 10 Jahre her

                                 (1) keine DSFA/ gering        (3) hoch
      Brutto-Risiko laut DSFA
                                 (2) mittel                    (4) sehr hoch

        Höchste betroffene       (1) max. Klasse 4 oder 5      (3) Datenschutzklasse 2
        Datenschutzklasse        (2) Datenschutzklasse 3       (4) Datenschutzklasse 1

        Ergebnis der letzten     (1) keine Prio1-Feststellung (3) 2< Prio1-Feststellungen
             Prüfung             (2) 1-2 Prio1-Feststellungen

       Anzahl Datenschutz-       (1) 0-2                       (3) ab 5
      meldungen im Prozess       (2) 2-4/ keine

      Anzahl Schnittstellen im   (1) keine                     (3) ab 3
             Prozess             (2) bis 2

kbo                                                                                      Datenschutzprüfungen bei kbo | Juni 2020 | 15
Datenschutz-Prüfungen – Prüfungsplanung

Risikoorientierte Prüfungsplanung
z.B. aufgrund vorangegangener Risikobewertung

•     Die einzelnen Werte werden für jedes Prüffeld je nach Auswahl miteinander multipliziert, so dass sich ein Wert zwischen 1
      und 1728 ergibt.
•     Der erreichte Wert entscheidet darüber, welche Prüffelder in der Prüfungsplanung priorisiert werden.
•     Es werden für jedes Jahr drei Prüfungen aus den Prüffeldern ausgewählt.
      (z.B. zwei Prüfungen mit Wert 96≤, eine Prüfung mit Wert
Datenschutz-Prüfungen – Prüfungsdurchführung

Prüfungsdurchführung

                                                                    Kick – Off

 Prüfungsarten                                                              Prüfungshandlungen
 •    Prozessprüfung                                                        •   Bestätigen von Sachverhalten durch externe Parteien
 •    Einzelfallprüfung                                                     •   Analyse von Dokumenten
 •    Begehung*                                                             •   Stichprobenprüfungen
 •    Follow-Up-Prüfung (Maßnahmennachverfolgung)                           •   analytische Prüfungshandlungen (Auswertungen)
 •    Sonderprüfungen (v.a. bei Datenschutzverstößen)                       •   exemplarischer Prozessdurchlauf
                                                                            •   direkte Beobachtung
                                                                            •   Interviews

                                                            Abschlussbesprechung

* Prüfungen, bei denen bestimmte Standardprüffelder in regelmäßigen Abständen vor Ort und stichprobenhaft kontrolliert werden.

kbo                                                                                                                  Datenschutzprüfungen bei kbo | Juni 2020 | 17
Datenschutz-Prüfungen – Prüfungsdurchführung

Bewertungssystematik von Prüfungsfeststellungen
z.B. Festlegung von Prioritäten

 Priorität 1   Es wird eine gesetzliche Vorschrift nicht eingehalten bzw. es besteht aktuell ein sehr hohes Risiko. Es sind
               umgehend Maßnahmen einzuleiten, um den Verstoß abzustellen.
 Priorität 2   Es wird eine interne Vorgabe nicht eingehalten. Die derzeitige Geschäftsabwicklung kann zu einem hohen
               Unternehmensrisiko führen.
 Priorität 3   Es wird eine interne Vorgabe nicht eingehalten. Mit der Nichteinhaltung ist ein niedriges Unternehmensrisiko
               verbunden.
 Priorität 4   Es sind Verbesserungen in der Unternehmensabwicklung möglich, diese sind bei einer Neugestaltung bzw.
               Änderung von Prozessen zu berücksichtigen.

kbo                                                                                                 Datenschutzprüfungen bei kbo | Juni 2020 | 18
Datenschutz-Prüfungen – Prüfungsdurchführung

Berichtswesen

• Prüfungsbericht
      vom Vorstand zu unterschreiben
      Maßnahmen sind umzusetzen
• Begehungsprotokoll
      keine Unterschrift des Vorstands
      oder Geschäftsführers
• Stellungnahmen
      (v.a. bei Sonderprüfungen)
• Jahresbericht
      Tätigkeiten des Jahres

kbo                                            Datenschutzprüfungen bei kbo | Juni 2020 | 19
Dokumentation

Dokumentation von Datenschutzprüfungen

•     Prüfungsplanung anhand von Audit-Universe und Risikobewertungssystem
•     Prüfungsfeststellungen inkl. Nachverfolgungsprozess
•     Ablage von relevanten Dokumenten zur Prüfung (Berichte, Nachweise, Richtlinien, etc.)

Ggf. Verwendung von Dokumentationstools, auch zur Sicherstellung der Rechenschaftspflichten

kbo                                                                                           Datenschutzprüfungen bei kbo | Juni 2020 | 20
Zusammenarbeit einzelner Bereiche

                                       Datenschutz

          Interne Revision                                            Compliance

                                                                     Qualitäts-
              IT-Sicherheit
                                                                    management

                              z.B. gemeinsame Audits, Co-Sourcing

kbo                                                                           Datenschutzprüfungen bei kbo | Juni 2020 | 21
Fragen/Anmerkungen

kbo                  Datenschutzprüfungen bei kbo | Juni 2020 | 22
Vielen Dank für Ihre
                                                   Aufmerksamkeit!

Für Fragen stehe ich Ihnen gerne zur Verfügung:

      Nikolaus Schrenk
      Kliniken des Bezirks Oberbayern – Kommunalunternehmen
      Prinzregentenstraße 18
      80538 München
      E-Mail: nikolaus.schrenk@kbo.de
      Telefon: 089 5505227-16

kbo                                                                      Datenschutzprüfungen bei kbo | Juni 2020 | 23
Sie können auch lesen